Ne pas déclarer un traitement à la CNIL, causes et conséquences

NB : il s’agit d’une mise à jour d’un papier écrit en 2011.

Avec la multiplication des ordinateurs personnels, l’utilisation des ERP et CRM, ou encore les réseaux sociaux, les entreprises sont appelées à traiter un nombre toujours plus grand d’informations sur leurs clients et collaborateurs.

À cet égard, la loi du 6 janvier 1978, dite « Informatique et Libertés » ( ci-après « la loi » ), est une loi charnière pour toute entreprise. Elle encadre en effet le traitement de ces données par l’entreprise, de la collecte à leur destruction, en passant par l’archivage et les diverses déclarations obligatoires. Avec bien entendu des sanctions à la clé, prononcées par la CNIL ( amendes voir peines de prison ).

Cependant, depuis quelques années, le juge judiciaire s’est aussi saisi de la question Informatique et Libertés. La Cour de cassation a eu ainsi l’occasion de se prononcer à plusieurs reprises sur l’impact de la non-conformité à la loi Informatique et Libertés au litige qui leur était soumis.

Ces litiges viennent en grande partie de la confusion entretenue autour de la « donnée à caractère personnel ». Selon l’article 2§2 de la loi, il s’agit de toute information relative à une personne identifiée ou identifiable, directement ou pas. Le champ couvert est donc extrêmement large, allant de l’adresse IP à une photo, en passant par les préférences alimentaires ou un relevé bancaire. Dès qu’il est possible de rattacher une information à une personne, même par le biais d’un cryptage ou d’un numéro d’identification, cette information constitue une donnée à caractère personnel, et protégée à ce titre par la loi.

Les principaux points litigieux concernent la définition d’un traitement de données ( I ), ou les conditions dans lesquelles celui-ci est opéré ( II ). Et bien entendu, un certain nombre de conséquences fâcheuses sont attachées à une non-conformité ( III ).

I. Les traitements de données à caractère personnel

Le traitement de données, défini par l’article 2§3 de la loi, s’entend comme toute opération ou ensemble d’opérations portant sur des données à caractère personnel.

Il s’agit tout autant d’un traitement automatisé ( tels une fonction Excel ou un algorithme de tri d’une base de données ) que d’un traitement papier. Relever manuellement les adresses IP – Internet Protocol – d’ordinateurs connectés à un réseau Peer-to-Peer est donc un traitement de données soumis à la loi Informatique et Libertés ( Cass. Crim. 16 juin 2009 ).

De même, détourner la fonction initiale d’un logiciel informatique peut avoir pour conséquence de mettre en œuvre un traitement de données à caractère personnel. Par exemple, utiliser les informations d’un processus de contrôle qualité systématiquement enregistrées pour en déduire l’activité et la productivité du salarié constitue bien un traitement de données devant être déclaré à la CNIL ( Cass. Soc. 11 avril 2008 ).

Enfin, la possibilité d’écouter une conversation téléphonique d’un salarié constitue lui aussi un traitement de données à caractère personnel, dès lors qu’il est possible de rapprocher le message transmis sur le réseau à une personne par le biais de sa voix ou encore du numéro de téléphone ( Cass. Soc. 6 avril 2004 ). Attention aussi aux salariés protégés, qui doivent pouvoir communiquer sans être surveillés ( Cass. Soc. 4 avril 2012 ).

Le chef d’entreprise doit donc être particulièrement vigilant à ce niveau. Dès que des informations relatives à des personnes sont enregistrées, consultées, ou traitées, ces opérations rentrent dans le champ de la loi Informatique et Libertés. Avec toutes les conséquences déclaratives ou de sécurité que cela implique.

La mise à jour d’un logiciel n’entraîne pas, quant à elle, l’obligation de procéder à une modification de la déclaration à la CNIL. En effet, la déclaration porte sur le traitement d’informations, pas sur un logiciel particulier ( Cass. Soc. 23 avril 2013 ).

II. Les conditions opératoires du traitement

Dés qu’un traitement de données est mis en oeuvre ( volontairement ou non ), les personnes concernées ( c’est-à-dire celles à propos desquelles on recueille les informations ) doivent être informées d’un certain nombre de points.

Il faut par exemple s’assurer que la personne a bien donné son accord au recueil et au traitement des informations, et qu’elle soit mise au courant des modalités de s’opposer au traitement de ses données. Et si dans la pratique on empêche que la personne puisse faire valoir son droit d’opposition, le traitement se voit qualifié de déloyal ( Cass. Crim. 14 mars 2006 ).

Parmi les autres informations à fournir à la personne concernée, l’oubli de la mention des droits des personnes concernées sur tous les documents ou l’oubli de la mention du responsable de traitement sont aussi sources de contentieux.

De même, une attention particulière doit être portée au périmètre du traitement. Que ce soit par le biais d’une déclaration normale, simplifiée ou d’une dérogation, l’approbation de la CNIL à la mise en œuvre du traitement ne vaut que pour le cadre dans lequel il a été

déclaré. Ainsi, un système de contrôle qualité ne peut en aucun servir d’outil de mesure de l’activité d’un salarié, à moins d’avoir été expressément mentionné dans la déclaration auprès de la CNIL ( Cass. Soc. 11 avril 2008 ).

Il ne faut pas non plus oublier que les informations enregistrées doivent être exactes, et les corriger le cas échéant. Sauf si cette correction est impossible techniquement ( Cass. Civ 1 04 mai 2012 ).

III. Conséquences de la non-conformité

Les hypothèses de non-conformité sont nombreuses, celles évoquées dans cet article n’étant que celles sur lesquelles la Cour de cassation a eu l’occasion de se prononcer. Plusieurs autres sont appelées à connaître un avenir judiciaire riche, comme par exemple le défaut de sécurité.

Or la conséquence d’une non-conformité est simple, mais extrêmement dangereuse pour une entreprise. Il s’agit de l’illicéité du traitement en cause ( Cass. Com. 04 octobre 2011 ).

Cette illicéité signifie que tout acte basé sur le traitement de données sera illicite, et donc nul. Licencier un salarié volant dans la caisse, avec pour preuve des images de vidéo-surveillance ? Illicite si l’employeur a oublié de déclarer son système de vidéo-surveillance à la CNIL en tant qu’outil de surveillance des salariés. Le licenciement sera ainsi requalifié en licenciement sans cause réelle et sérieuse (Cass. Soc 26 juin 2013 ).

Un salarié refuse de mettre en oeuvre un traitement de données à caractère personnel qui n’a pas été déclaré à la CNIL ? Cela est parfaitement justifié de sa part. À moins que ce traitement ne soit expressément prévu par la loi, comme un chronotachygraphe sur un véhicule poids lourds ( Cass. Soc. 14 janvier 2014 ).

Vous êtes une entreprise qui vend des produits soumis à déclaration de la CNIL ? Attention, le contrat est nul si vous avez oublié d’effectuer la déclaration ( Cass. Com 25 juin 2013 ). La vente d’un fichier de mailing peut ainsi être annulée.

Il apparaît clairement que la loi Informatique et Libertés n’est plus dorénavant une loi sectorielle, et spécifique. Son champ d’application touche l’ensemble de l’économie actuelle, plus aucune entreprise ne peut faire l’impasse sur une mise en conformité avec la loi. Si l’obligation de déclaration à la CNIL est une obligation connue des chefs d’entreprise, ils doivent être conscients que le non-respect du périmètre de déclaration ( ou toute autre irrégularité ) se tournera systématiquement en leur défaveur en cas de règlement judiciaire du différend.

Publicités